Những bài thực hành hỗ trợ đào tạo mật mã và an ninh mạng

09:41 | 17/09/2013

Bên cạnh các công trình nghiên cứu, bài tập thực hành củng cố các khái niệm đã được giới thiệu trong sách, giúp cho sinh viên hiểu biết sâu sắc hơn về cách thức hoạt động của một thuật toán hoặc giao thức mật mã. Những bài tập thực hành này sẽ tạo cho sinh viên niềm tin rằng họ có khả năng không chỉ hiểu mà còn có thể cài đặt các cấu hình an toàn.

Các bài tập thực hành là một phần rất quan trọng trong quá trình học tập, giúp sinh viên có thể hiểu sâu hơn những vấn đề khoa học đã được đề cập trong giáo trình giảng dạy chính và là cách thức để họ tiếp cận gần hơn tới thực tế nghề nghiệp. 

William Stallings là tác giả của nhiều cuốn sách trong lĩnh vực an ninh mạng, không chỉ có nội dung khoa học mà còn định hướng nhiều tới việc hỗ trợ đào tạo. Bên cạnh các bài tập, câu hỏi ôn tập ở cuối mỗi chương, còn có nhiều hình thức hỗ trợ khác cho việc giảng dạy như các bài tập thực hành, các chuyên đề,.... Tài liệu “Những dự kiến hỗ trợ để giảng dạy mật mã và an ninh mạng” của cuốn sách “Mật mã và an ninh mạng: Các nguyên lý và thực hành” (xuất bản lần thứ 5) mô tả 9 biện pháp hỗ trợ cho công tác giảng dạy được giới thiệu sau đây. 

Dùng đại số máy tính Sage

Trong tài liệu này là sử dụng Sage cho các ví dụ mật mã và bài tập ở nhà. Sage là một gói miễn phí, hỗ trợ nhiều nền tảng, mã nguồn mở mà thi hành một hệ thống toán học và đại số máy tính mạnh, mềm dẻo và dễ học. Hệ thống đại số máy tính (Computer Algebra System – CAS) là phần mềm mà có thể thực hiện các tính toán ký hiệu cũng như các tính toán số. Các hệ thống đại số máy tính đã được sử dụng để giảng dạy từ một số thập niên trước đây và bây giờ có khá nhiều tài liệu về việc sử dụng chúng. CAS là một công cụ tự nhiên để mở rộng kiến thức kinh nghiệm trong một khóa học mật mã.

Không giống như những hệ thống mang tính cạnh tranh như Mathematica, Maple và MATLAB, Sage không cần có các thỏa thuận bản quyền hoặc thu phí liên quan. Do vậy, Sage có thể sẵn có để dùng trên máy tính và mạng tại các trường học, sinh viên có thể tải phần mềm về các máy tính cá nhân của riêng họ để sử dụng. Ưu thế khác của việc sử dụng Sage là ở chỗ, các sinh viên được học một công cụ mạnh, mềm dẻo mà có thể sử dụng dường như cho bất kỳ ứng dụng toán học nào, không chỉ mật mã. Trang web của Sage (http://www.sagemath.org) cung cấp một số lượng tài liệu đáng kể về cách cài đặt, cấu hình và sử dụng Sage trên nhiều dạng máy tính và cách sử dụng trực tuyến thông qua Web.

Việc sử dụng Sage có thể tạo nên một khác biệt quan trọng để dạy về các thuật toán mật mã. Phụ lục B cung cấp một số lượng lớn các ví dụ sử dụng Sage bao gồm nhiều khái niệm về mật mã và phụ lục C liệt kê các bài tập theo nhiều chủ đề giúp sinh viên thu được nhiều kinh nghiệm thực hành với các thuật toán mật mã. 

Những bài tập về hacking

Mục tiêu của những bài tập này là xâm nhập vào mạng của một công ty thông qua một loạt các bước. Trong bài tập, một công ty có tên là Extreme In Security Corporation có một số lỗ hổng an ninh và một hacker thông minh có thể truy cập thông tin nhạy cảm bằng cách xâm nhập vào mạng của công ty đó. IRC bao gồm các công cụ cần đến để thiết lập trang Web. Mục đích của sinh viên là bắt lấy thông tin bí mật về giá trên hạn ngạch mà công ty đặt trong tuần tiếp theo để nhận được hợp đồng cho một dự án chính phủ.

Sinh viên phải khởi động website và truy cập vào mạng. Tại mỗi bước, nếu sinh viên thành công, sẽ xuất hiện những chỉ dẫn cách đi đến bước tiếp theo cũng như đánh giá cho điểm.

Bài tập có thể được thực hiện theo 3 cách:

- Không tìm kiếm dạng hỗ trợ nào cả;

- Sử dụng một số gợi ý được cung cấp;

- Sử dụng hướng dẫn chính xác.

IRC bao gồm những tệp cần đến cho bài tập này:

- Kế hoạch Web Security;

- Các bài tập Web Hacking (các tấn công XSS và Script) gồm các cách khai thác điểm yếu phía máy chủ cũng như phía máy khách;

- Tài liệu cài đặt và sử dụng cho những gì đã nói tới ở trên;

- Tệp PowerPoint mô tả tấn công Web. Tệp này giúp hiểu cách sử dụng các bài tập, vì nó giải thích rõ ràng hoạt động với các ảnh màn hình.

Những bài thực hành này đã được Giáo sư SreeKanth Malladi của Dakota State University thiết kế và cài đặt.

Các thực hành về mã khối

Lawrie Brown từ Học viện Quốc phòng Úc (Australian Defence Force Academy) đã phát triển những bài thực hành này. Đây là một bài tập thí nghiệm nhằm khám phá hoạt động của thuật toán mã hóa AES bằng cách dõi vết thực hiện của nó, tính một vòng bằng tay và sau đó nghiên cứu các chế độ sử dụng khác nhau của mã khối. Bài tập cũng bao gồm cả DES. Trong cả hai trường hợp, sử dụng một ứng dụng Java trực tuyến (và có thể được tải về) để thực hiện AES hoặc DES.

Đối với cả AES và DES, các bài tập được chia thành 3 phần riêng biệt:

- Bên trong của mã khối: Phần này bao gồm việc mã hóa bản rõ và phân tích các kết quả trung gian sau mỗi vòng. Có một máy tính trực tuyến cho cả AES và DES, cung cấp các kết quả trung gian và bản mã cuối cùng.

- Vòng của mã khối: Phần này bao gồm việc tính bằng tay một vòng và so sánh các kết quả với kết quả được tính bởi máy tính.

- Các chế độ sử dụng của mã khối: Cho phép sinh viên so sánh hoạt động của các chế độ CBC và CFB.

IRC chứa các tệp .html và .jar cần thiết để cài đặt những bài tập thực hành này vào trang web của người dùng.

Các bài tập thí nghiệm

Hai Giáo sư Sanjay Rao và Ruben Torres của Đại học Purdue đã chuẩn bị một tập hợp các bài tập thí nghiệm đã được đưa vào IRC. Đó là những bài tập thực thi được thiết kế để lập trình trên Linux, nhưng có thể thích nghi cho môi trường Unix bất kỳ. Những bài tập thí nghiệm này cung cấp kinh nghiệm thực tế trong việc cài đặt các hàm và các ứng dụng mật mã.

Các công trình nghiên cứu khoa học

Một cách hiệu quả để củng cố các khái niệm cơ bản từ khóa học và dạy cho sinh viên các kỹ năng nghiên cứu là thực hiện một công trình nghiên cứu. Một công trình như vậy có thể bao gồm việc nghiên cứu tài liệu qua Internet về các sản phẩm của nhà cung cấp, các hoạt động phòng thí nghiệm và các quy trình chuẩn hóa. Các công trình này có thể được giao cho các nhóm, hoặc đối với các công trình nhỏ hơn, cho các cá nhân và các công trình này nếu được đề xuất sớm trong khóa học, để người dạy đủ thời gian đánh giá đề xuất và phân bổ cho chủ đề thích hợp. 

Các sinh viên có thể chọn một trong những chủ đề đã được liệt kê trong IRC hoặc sáng tạo ra chủ đề tương tự của riêng họ. IRC bao gồm khung mẫu cho đề xuất và báo cáo cuối cùng cũng như danh sách 15 chủ đề nghiên cứu có thể tham gia.

Các bài tập lập trình

Các bài tập lập trình là một công cụ sư phạm hữu ích. Những ưu việt của các bài tập lập trình đứng riêng lẻ, mà không phải là một phần của phương tiện an ninh đang tồn tại bao gồm:

- Người dạy có thể chọn từ tập hợp đa dạng các khái niệm mật mã và an ninh mạng để giao bài tập.

- Các bài tập có thể được lập trình bởi các sinh viên, trên một máy tính sẵn có bất kỳ và theo ngôn ngữ thích hợp bất kỳ, chúng không phụ thuộc vào ngôn ngữ và nền tảng.

- Người dạy cần tải, cài đặt và cấu hình hạ tầng cơ sở cụ thể cho các bài tập riêng lẻ.

- Có độ mềm dẻo trong quy mô của các bài tập. Các bài tập lớn đem lại cho các sinh viên cảm giác thành công nhiều hơn, nhưng lại khó khăn với sinh viên có trình độ chưa cao. Các bài tập lớn hơn thường gợi ra nhiều nỗ lực tổng thể hơn từ những sinh viên tốt nhất. Các bài tập nhỏ hơn có thể đề cập tới các lĩnh vực đa dạng hơn và phù hợp với đa số sinh viên.

Cũng như đối với các công trình nghiên cứu khoa học, trước hết, các sinh viên cần đề xuất một đề tài nghiên cứu được mô tả theo khung mẫu với các thành phần đã được liệt kê trong mục trên. IRC bao gồm một tập có 12 bài tập lập trình có thể.

Đánh giá an toàn thực tế

Việc kiểm tra hạ tầng cơ sở hiện tại và các thực tiễn hoạt động của một tổ chức là một trong những cách tốt nhất để phát triển các kỹ năng đánh giá trạng thái an ninh của nó. IRC chứa một danh sách các hoạt động như vậy. Các sinh viên có thể làm việc riêng lẻ hoặc trong nhóm nhỏ, chọn một tổ chức có quy mô thích hợp. Sau đó, họ phỏng vấn một số cán bộ chủ chốt trong tổ chức đó để hướng dẫn một lựa chọn đánh giá hiểm họa an ninh thích hợp và xem xét lại các nhiệm vụ với tư cách nó liên quan tới hạ tầng cơ sở công nghệ thông tin và các thực tiễn của tổ chức. Những hoạt động này giúp sinh viên phát triển một phương pháp đánh giá các thực tiễn an ninh hiện tại, các kỹ năng cần thiết để đưa ra kết luận và khuyến cáo các thay đổi.

Lawrie Brown đã phát triển các công việc dạng này. 

Đọc/báo cáo bài báo 

Một cách khá hiệu quả để củng cố các khái niệm từ khóa học và đem lại cho sinh viên kinh nghiệm nghiên cứu là phân công đọc và phân tích các bài báo từ tài liệu chuyên ngành. Sau đó, sinh viên được yêu cầu viết một báo cáo ngắn gọn về bài báo đã được giao. IRC bao gồm một danh sách các bài báo được đề xuất, với 1 hay 2 bài trong mỗi chương, IRC cung cấp một bản sao PDF của mỗi bài báo và cách trình bày nhiệm vụ được phân công.

Viết các chuyên đề/tiểu luận

Việc viết các chuyên đề có thể có một hiệu ứng tăng hiệu quả trong quá trình học các môn học kỹ thuật, chẳng hạn như mật mã và an ninh mạng. Việc viết các chuyên đề giúp sinh viên suy nghĩ đầy đủ và chi tiết hơn về một chủ đề cụ thể. Thêm vào đó, nó giúp khắc phục tình trạng sinh viên chỉ học các sự kiện và các kỹ thuật giải quyết vấn đề mà không có được sự hiểu biết sâu sắc về nội dung đề tài.

IRC gồm một số các đề xuất viết chuyên đề, được tổ chức theo từng chương. Những người trợ giảng đã đánh giá rằng đó là một phần quan trọng của cách tiếp cận của họ để dạy tài liệu.

Về William Stallings 

William Stallings đã có một đóng góp khác thường để hiểu một dải rộng các phát triển kỹ thuật trong an ninh máy tính, mạng máy tính và kiến trúc máy tính. Ông là tác giả của 17 đầu sách (nếu tính cả các lần tái bản 42 cuốn trên các khía cạnh khác nhau của các chủ đề này). Các bài viết của ông đã xuất hiện trong nhiều công bố của ACM (Association for Computing Machinery) và IEEE (Institute of Electrical and Electronics Engineers).

Ông đã 11 lần nhận giải thưởng cho sách giáo khoa tốt nhất về Khoa học Máy tính (Computer Science) của năm.

Trong hơn 30 năm hoạt động trong lĩnh vực, ông đã từng là cộng tác viên kỹ thuật, giám đốc kỹ thuật và giám đốc điều hành của nhiều công ty công nghệ cao. Ông đã thiết kế và cài đặt cả hai bộ giao thức dựa trên TCP/IP và OSI trên đa dạng các máy tính và hệ điều hành, trải từ microcomputer tới mainframe. Như một nhà tư vấn, ông đưa ra ý kiến cho các cơ quan chính phủ, các nhà sản xuất phần cứng và phần mềm, những người dùng chính về thiết kế, lựa chọn và sử dụng các sản phẩm và phần mềm mạng.

Ông tạo ra và duy trì trang web Tài nguyên của Sinh viên Khoa học Máy tính (Computer Science Student Resource) tại địa chỉ http://WilliamStallings.com/StudentSupport.html. Trang web này cung cấp tài liệu và các đường dẫn tới đa dạng các chủ đề của các mối quan tâm chung tới các sinh viên và các chuyên gia khoa học máy tính. Ông là thành viên của ban biên tập tạp chí nghiên cứu dành cho tất cả các khía cạnh của mật mã học Cryptologia.

Stallings giữ học vị PhD từ Viện Công nghệ Massachusetts - MIT về Khoa học Máy tính và B.S từ trường Đại học Notre Dame về Công nghệ Điện tử.